資安機構 PromptArmor 揭露 Microsoft 365 Copilot Cowork 存在提示注入漏洞,攻擊者可透過一份惡意技能檔,造成企業 SharePoint 與 OneDrive 機密檔案外洩。
(前情提要:GitHub Copilot 喊停自助訂閱:AI 用量失控,平價方案經濟學已全面崩潰)
(背景補充:Claude Cowork 完全攻略:把 AI 從聊天助手變成你的數位員工)
本文目錄
- 微軟說要問你,但它沒有
- 攻擊步驟
- 模型越聰明,洩露越全面
- 收縮權限,是目前唯一的護城河
5 次測試,5 次成功。資安研究機構 PromptArmor 上週發布威脅情報報告,指出 Microsoft 365 的 Copilot Cowork 功能存在一條完整可重現的檔案外洩攻擊鏈。
攻擊者只需在一個 81 行的技能設定檔中植入 5 行惡意指令,便能讓 AI 代理人在用戶毫不知情的情況下,將 SharePoint 和 OneDrive 的企業機密檔案傳送到攻擊者控制的伺服器。
這不是個別模型的問題。Claude Opus 4.7 與 Claude Sonnet 4.6 均驗證受影響,且 Opus 4.7 表現更為「積極」,主動擴大搜尋範圍,把受害者本週所有 Cowork 工作階段曾開啟的檔案一併納入外洩清單。
微軟說要問你,但它沒有
這個攻擊的關鍵,在於一個官方檔案與實際行為之間的落差。
微軟官方說明檔案明確寫道:「Cowork 在執行敏感操作前,例如寄送電子郵件或在 Teams 發布訊息,會先徵得您的同意。」
然而 PromptArmor 的研究人員在測試中發現,當收件人是用戶本身時,這條規則直接失效。寄信給自己、傳 Teams 訊息給自己,Copilot Cowork 一律自動執行,不彈出任何授權確認視窗,用戶也沒有任何設定可以修改這個行為。
這個細節,成為整條攻擊鏈的關鍵缺口。
Copilot Cowork 是 Microsoft 365 的 Frontier 功能,透過 Microsoft Graph 取得用戶的完整雲端權限,可讀取並操作整個企業租戶內的資料。換句話說,它能看到你能看到的一切,包括 SharePoint 上的財務報表、OneDrive 裡的人事資料,以及所有含個人識別資訊的檔案。
攻擊步驟
攻擊鏈共六個步驟:
第一步:受害者的 SharePoint 或 OneDrive 存有含個資或財務資料的敏感檔案
第二步:受害者從網路下載一份技能設定檔,上傳至 Copilot Cowork,這是常見操作,相當於安裝外掛。Cowork 的技能檔會從用戶 OneDrive 的特定路徑自動載入,管理員對此能見度極為有限
第三步:受害者請 Copilot Cowork 整理本週工作摘要,觸發技能執行
第四步:被植入的提示注入指令操控代理人,讓它為每份檔案取得「預認證下載連結」,再透過惡意 HTML 圖片標籤,將這些連結作為查詢引數傳送至攻擊者伺服器。
預認證下載連結是什麼?簡單來說就是,一個帶有授權資訊的 URL,任何人拿到這條連結,不需要登入 Microsoft 帳號,直接點選就能下載該檔案。
第五步:代理人傳送一則 Teams 訊息給用戶本身,訊息中嵌入這些惡意圖片標籤,全程不需要用戶授權,惡意內容對用戶完全不可見,即使點開訊息也看不出異常
第六步:用戶開啟 Teams 訊息的瞬間,瀏覽器自動載入圖片,預認證下載連結就此傳送至攻擊者伺服器,攻擊者隨時可以開啟連結下載所有檔案。
模型越聰明,洩露越全面
PromptArmor 的測試揭示了一個值得深思的現象:模型能力越強,在這個攻擊情境中造成的損失越大。
測試初期使用「自動」模式,系統動態在 Claude Opus 4.7 與 Claude Sonnet 4.6 之間切換。研究人員隨後針對 Opus 4.7 單獨驗證,結果發現同一份注入指令完全生效。
這個攻擊鏈在所有測試中均完整執行,且與用戶的具體提問文字無關,只要任何查詢觸發了技能載入,注入即告成功。
攻擊的永續性同樣令人憂慮。Copilot Cowork 支援排程任務,讓用戶設定定期自動執行的提示指令。一旦攻擊者的注入設定進入排程,受害者甚至不需要主動操作,攻擊就會在每個週期靜默執行,源源不絕地向外輸出企業機密。
PromptArmor 強調,這不是一個可以用單一補丁修復的程式錯誤,而是企業級 AI 代理人設計架構的系統性風險。當一個代理人被賦予跨多個系統的委派授權,任何一個系統的信任邊界崩潰,都可能成為全面滲透的入口。
收縮權限,是目前唯一的護城河
PromptArmor 在報告中另外向微軟揭露了一個直接允許資料從 Copilot Cowork 沙盒環境外洩的漏洞,這是獨立於本次研究的另一個問題,目前已進入負責任揭露程式。
本次公開的攻擊鏈,研究人員選擇主動揭露而非等待修補,原因在於:這個風險源自系統架構設計,而非可修補的特定漏洞,用戶需要在知情的情況下決定是否接受這個風險。
目前可採取的緩解措施以限縮代理人的行動半徑為主。管理員可透過 SharePoint 限制檔案下載:設定 Set-SPOSite -Identity <SiteURL> -BlockDownloadPolicy $true,或依敏感性標籤封鎖下載功能。
代價是功能受損,用戶在瀏覽器中只能檢視檔案,無法下載、列印或同步,包括 Word、Excel、PowerPoint 等所有 Microsoft 365 應用程式。
這也是 Microsoft Copilot 生態系近期第二波重大安全問題。稍早的 EchoLeak(CVE-2025-32711)是針對 Copilot 個人版的提示注入漏洞,Varonis 研究的 Reprompt 攻擊(CVE-2026-24307)則揭示了類似的單擊資料外洩路徑,Copilot Studio 的間接提示注入漏洞(CVE-2026-21520,CVSS 7.5)雖已被修補,但同類問題在更廣泛的 Copilot 產品線中仍未根除。
AI 代理人的能力邊界,正在成為企業資安的新戰場。
當一個工具能夠代替你「做事」,它所需要的存取權限就會不可避免地擴張,而每一個被授予的權限,都是一條潛在的攻擊向量。限制代理人的行動能力,本質上就是在限制它的使用價值,這個矛盾,目前沒有人有完美答案。
📍相關報導📍
Claude 是什麼?費用、功能、Claude Code、Cowork 完整解析 — 2026 Anthropic 最詳細指南
Claude 正式支援修改 Word 檔案、工作流存成技能 skill,微軟 Office 三件套整合完成
一人公司時代降臨!Anthropic 發布《AI 原生創業手冊》:不會寫 Code 也能當科技 CEO
Claude 全攻略:從 Opus 4.6 到 Claude Code,不同身份怎麼用一次看懂
5 行程式碼,逼瘋整個矽谷!澳洲放羊大叔捅開 AI 程式設計奇點
